BEC诈骗信件对Microsoft 365用户进行攻击

微软近日侦测到骇客对Microsoft 365用户散布BEC商务诈骗信件，不但进入用户信箱，还修改了信箱设定，成功存取受害者的机密信件。

Microsoft 365 Defender研究人员侦测到，这次BEC邮件是一宗利用以多个Web服务的基础架构上发动的大规模攻击。在主要攻击前，骇客先传送一封包含语音邮件及恶意HTML附件的钓鱼信件。等不疑有它的用户点选后，出现假的微软登入页面，以骗取用户输入邮件相信及密码，并将这组资料传送到外部云端业者。

图片来源_微软

之后攻击者即以这组用户凭证成功存取受害者信箱，并且修改邮件转寄规则，以取得机密资料。微软发现多家组织数百个受害信箱被修改转信规则，只要信中包括invoice、payment、statement字样，就会转寄到一个攻击者控制的外部信箱。攻击者还加入转寄后删除信件的规则，以免被发现。

分析这批信件，微软发现攻击者是利用多个Web服务代管的基础架构，来发动BEC信件攻击。这个架构可支援大量信件作业，包括修改规则、监控信箱、寻找受害者，并接收寄来的信件。

为长期隐匿行动，他们运用外部多个IP和不同时间点发送信件，以避免被侦测到，此外也设定多笔和公司网域很像的DNS纪录，以便混入现有信件，或用于特定目标的攻击。

虽然启用Microsoft 365的多因素验证，可避免攻击者以窃来的帐密存取信箱，但是微软也发现到，攻击者使用旧式邮件协定，像是IMAP/POP3企图绕过Exchange Online账号的MFA。当骇客使用窃来的凭证登入Exchange Online上的代理程式BAV2ROPC，会启动ROPC OAuth流程。后者使用IMAP/POP3协定，若账号启用MFA，就会回传invalid_grant的讯息，而不会送出MFA通知。微软发现特定目标就是以POP3/IAMAP用户端造成信件外泄。

他们另外发现攻击者使用一种C# App称为EmailRuler（下图），可收集受害者信箱凭证及状态，并利用名为Crown EasyEmail的工具，方便窃取受害信箱中的信件。

图片来源_微软

虽然微软谈得不多，但微软上一次MFA验证被绕过，即造成邮件安全商Mimecast云端服务被攻击，攻击者正是攻击美国软件商SolarisWinds的同一个骇客组织。